今天朋友的电脑老是需要重新启动,提示"Generic host process for win32 services遇到问题需要关闭",于是首先打开任务管理器查看,发现有多个伪装的SVCHOST运行,并且居然又有RUNDL132.EXE出现,最明显就是在D盘根目录下出现pagefile.pif和autorun.inf文件,显然又是中了传说中的落雪病毒,上网搜索了一下:pagefile.pif病毒专杀,autorun.inf病毒专杀,发现前次的工具不起作用,能够清除部分病毒文件却不能完全清除"落雪"病毒,于是继续在网上找"pagefile.pif病毒专杀,autorun.inf病毒专杀"工具,终于功夫不负有心人,...

下文转自:江民论坛

前段时间单位、朋友多台电脑中毒，具体症状D盘有autorun.inf和pagefile.pif两个系统文件，显然autorun.inf是指向pagefile.pif的，所有.EXE可执行文件都无法打开。
在网上查询了下，是其大名是”落雪“木马病毒，转贴网上介绍如下：
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－    
最近网上正在流窜这一类木马－游戏大盗，KV 报病毒名： Trojan/PSW.GamePass ，这类木马还有一个好听的别名：落雪木马，呵呵，在浪漫的名称背后隐藏的是一双冰冷狡诈的眼睛！如果你正在打网络游戏，并且中了这种木马话，那么你的 IC，IP，IQ卡，游戏帐号和密码，也就统统告诉它密码了！
       游戏大盗 Trojan/PSW.GamePass ，落雪木马由VB 语言编写，一般加的是 nSPack 3.1 的壳，也就是通常所说的北斗壳（North Star），该木马文件图标一般是红色的，很像网络游戏的登陆器。如图：


落雪木马可以盗取包括魔兽世界，传奇世界，征途，梦幻西游，边锋游戏在内的多款网络游戏的帐号和密码，对网络游戏玩家的游戏装备构成了极大的威胁。
病毒行为分析：
病毒运行后，将创建下列文件（以Windows XP 系统为例）：
c:\program files\common files\iexplore.pif, 47274字节
c:\program files\internet explorer\iexplore.com, 47274字节
c:\windows.com, 47274字节
c:\windows\debug\debugprogram.exe, 47274字节
c:\windows\exeroute.exe, 47274字节
c:\windows\explorer.com, 47274字节
c:\windows\finder.com, 47274字节
c:\windows\winlogon.exe, 47274字节
c:\windows\System32\command.pif, 47274字节
c:\windows\System32\dxdiag.com, 47274字节
c:\windows\System32\finder.com, 47274字节
c:\windows\System32\msconfig.com, 47274字节
c:\windows\System32\regedit.com, 47274字节
c:\windows\System32\rundll32.com, 47274字节

在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program" = %WinDir%\winlogon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell" = explorer.exe 1

这样，在Windows启动时，病毒就可以自动执行。

病毒通过修改下列注册表键值，改变IE默认主页等信息：

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]

"Check_Associations" = no

病毒通过修改下列注册表键值，修改文件关联：

[HKEY_CLASSES_ROOT\dunfile\shell\open\command]
"" = %systemroot%\system32\rundll32.com netshell.dll,invokedunfile %1

[HKEY_CLASSES_ROOT\file\shell\open\command]
"" = rundll32.com url.dll,fileprotocolhandler %l

[HKEY_CLASSES_ROOT\htmlfile\shell\open\command]
"" = "c:\program files\internet explorer\iexplore.com" -nohome

这样，用户打开任何dun    html文件，都会再次运行病毒程序。

         大家可以看到，该木马会生成很多文件，并且文件的大小都是一样的，这可能就是落雪木马名称的由来吧！其实这些文件都是同一个文件，只是文件名称不同而已。生成的病毒文件模拟成正常的工具名称，只是扩展名该成了 .com，这是利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，当用户调用 Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com ，可见病毒作者的“良苦用心”。
落雪木马会创建一个名为winlogon.exe 的进程，这个进程的路径是c:\windows\winlogon.exe，以此来迷惑用户。



落雪木马文件分布如下：




落雪木马会创建以下键值实现开机自启动：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="C:\WINNT\WINLOGON.EXE"
注册表位置如图：



落雪木马还有一个很特别的地方，就是这个木马不仅仅感染C盘，还会在D 盘中也留下木马文件，如图：


autorun.inf 文件是一个自动运行的脚本程序，里面内容如下，



[autorun]
OPEN=D:\pagefile.pif

很明显，即便是用户中毒之后将C盘的病毒杀干净了，一旦双击D盘还会重新感染落雪木马，可见这个木马的作者利用了人门很多操作习惯上的漏洞。

"Generic host process for win32 services遇到问题需要关闭"

附江民”落雪“专杀工具
http://www.jiangmin.com/download/TrojanKiller.exe

zt